Firma WithSecure opracowała nową technologię Activity Monitor. Wykorzystując możliwości oferowane przez środowisko piaskownicy, pozwala cofnąć szkody spowodowane przez złośliwe oprogramowanie, w szczególności przez ransomware.
Tradycyjne sandboxy
Piaskownice to odizolowane środowiska testowe, w których uruchamia się nieznany kod, aby przeanalizować jego wpływ na system lub dane. Ponieważ kod testowany jest w izolacji, można sprawdzić, czy jest on bezpieczny, czy szkodliwy.
Activity Monitor, zamiast uruchamiać kod w izolowanym środowisku, tworzy kopie zapasowe systemu i danych, a następnie pozwala na uruchomienie kodu w systemie podczas monitorowanej sesji.
Jeśli Activity Monitor wykryje szkodliwe zmiany, natychmiast zablokuje procesy i wykorzysta stworzone wcześniej kopie zapasowe, aby przywrócić sesję do stanu, w którym znajdowała się przed uruchomieniem złośliwego kodu. Dodatkową zaletą nowego podejścia jest możliwość wykrycia złośliwego zachowania względem plików, nawet jeśli oprogramowanie działa na innym komputerze i szyfruje pliki zdalnie.
Technologia zapewnia nowe narzędzie do zwalczania złośliwego oprogramowania, które według niektórych źródeł kosztowały organizacje na całym świecie aż 18 miliardów euro do końca 2021 roku. Większość ransomware szyfruje dane ofiary, a następnie dostarcza klucze deszyfrujące w zamian za okup.
Activity Monitor jest zbudowany tak, aby wykrywać tego typu zmiany, a po wykryciu procesów szyfrowania zatrzymuje je i przywraca dane do stanu niezaszyfrowanego.
Technologia jest już dostępna w rozwiązaniu WithSecure Elements Endpoint Protection for Servers dla Windows. Nie jest wykluczone, że będzie dostępna dla stacji roboczych Windows, Mac i Linux.
Nie mamy potwierdzenia, czy Activity Monitor trafi do produktów F-Secure. Przypomnijmy, że F-Secure jest już niezależną firmą, więc to od nich będzie zależało, czy zdecydują się na użycie technologii w swoich produktach dla użytkowników indywidualnych.
